FreeBSD防火墙技术

　　网络地址翻译都和IP数据包过滤一起使用，就构成一种更复杂的包过滤型的防火墙。仅仅具备包过滤能力的路由器，其防火墙能力还是比较弱，抵抗外部入侵的能力也较差，而和网络地址翻译技术相结合，就能起到更好的安全保证。

主动监测技术

　　无论是包过滤，还是代理服务，都是根据管理员预定义好的规则提供服务或者限制某些访问。然而在提供网络访问能力和防止网络安全方面，显然存在矛盾，只要允许访问某些网络服务，就有可能造成某种系统漏洞，然而如果限制太严厉，合法的网络访问就受到不必要的限制。代理型的防火墙的限制就在这个方面，必须为一种网络服务分别提供一个代理程序，当网络上的新型服务出现的时候，就不可能立即提供这个服务的代理程序。事实上代理服务器一般只能代理最常用的几种网络服务，可提供的网络访问十分有限。

　　为了在开放网络服务的同时也提供安全保证，必须有一种方法能监测网络情况，当出现网络攻击时就立即告警或切断相关连接。主动监测技术就是基于这种思路发展起来的，它维护一个记录各种攻击模式的数据库，并使用一个监测程序时刻运行在网络中进行监控，当一旦发现网络中存在与数据库中的某个模式相匹配时，就能推断可能出现网络攻击。由于主动监测程序要监控整个网络的数据，因此需要运行在路由器上，或路由器旁能获得所有网络流量的位置。由于监测程序会消耗大量内存，并会影响路由器的性能，因此最好不在路由器上运行。

　　主动检测方式作为网络安全的一种新兴技术，由于需要维护各种网络攻击的数据库，因此需要一个专业性的公司维护。理论上这种技术能在不妨碍正常网络使用的基础上保护网络安全，然而这依赖于网络攻击的数据库和监测程序对网络数据的智能分析，而且在网络流量较大时，使用sniffing技术的监测程序可能会遗漏数据包信息，因此这种技术主要用于要求较高，只用于对网络安全要求非常高的网络系统中，常用的网络并不需要使用这种方式。